III. Otras disposiciones. MINISTERIO DE CULTURA Y DEPORTE. Convenios. (BOE-A-2023-19756)
Resolución de 11 de septiembre de 2023, de la Subsecretaría, por la que se publica la Adenda al Convenio con la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., para la facilitación y gestión de los medios de pago de las ayudas del "Bono Cultural Joven 2023".
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 225
Miércoles 20 de septiembre de 2023
Sec. III. Pág. 127710
No obstante, y previa notificación por escrito del Responsable del Tratamiento
a la finalización del encargo, el Responsable del Tratamiento podrá requerir al
encargado para que en vez de la opción a), cumpla con la b) o c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del
tratamiento, los datos de carácter personal y, si procede, los soportes donde
consten, una vez cumplida prestación. La devolución debe comportar el borrado
total de los datos existentes en los equipos informáticos utilizados por el
encargado. No obstante, el encargado puede conservar una copia, con los datos
debidamente bloqueados, mientras puedan derivarse responsabilidades de la
ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el
encargado debe certificar su destrucción por escrito y previa petición, debe
entregar el certificado al responsable del tratamiento. No obstante, el encargado
puede conservar una copia, con los datos debidamente boqueados, mientras
puedan derivarse responsabilidades de la ejecución de la prestación.
Medidas de seguridad.
Los datos deben protegerse para evitar que dichos datos pierdan su razonable
confidencialidad, integridad y disponibilidad y de acuerdo con la catalogación del
riesgo según el anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se
regula el Esquema Nacional de Seguridad y la evaluación de riesgos realizada. Se
deben implantar, al menos, las siguientes salvaguardas:
Tipo
Privacidad desde el diseño y por defecto.
Descripción
Salvaguardas
Ocultación o pseudonimización
(RGPD).
Los datos a comunicar se deben ofuscar.
Si aparece información del entorno de producción, se
disociarán los datos identificativos.
Borrado de información.
Se deben establecer criterios concretos para
eliminar los datos.
Se deben definir criterios generales de borrado, conforme
a los plazos legales de conservación.
Seguridad en los requisitos,
análisis y diseño de aplicaciones
informáticas.
Análisis de PbDD.
El modelo de datos debe incluir el mínimo número
Debe existir una lista de requisitos de seguridad.
de datos, la exposición de los datos debe
Un informe debe relacionar los requisitos de seguridad
predefinirse teniendo en cuenta los requisitos de
con las medidas de análisis implantadas, y detectar
seguridad.
mejoras.
Seguridad en la puesta en
producción de aplicaciones
informáticas.
Se debe garantizar que las aplicaciones
informáticas tienen controles de seguridad
adecuados.
Cancelación periódica / Expurgo.
Definir y aplicar criterios generales de conservación de la
información.
El modelo de datos debe incluir el mínimo número Definir procedimientos de expurgo de la información
de datos, la exposición de los datos debe
aprobados, y conocidos, por la Organización.
predefinirse teniendo en cuenta los requisitos de
Auditar anualmente los procedimientos de cancelación
seguridad.
periódica y expurgo.
Valorar la contratación de un proveedor certificado en
procedimientos de destrucción segura de información.
Finalidades debidas y no
excesivas.
Las finalidades deben ser debidas y no excesivas. Definir finalidades específicas.
Políticas de control de accesos.
Restringir el acceso a los datos bajo el principio de
Implementar controles de acceso a la información.
necesidad de conocimiento.
Técnicas de ofuscación o
disociación.
Los datos deben ser ininteligibles mediante
cifrado, u optar por eliminar la vinculación entre
conjuntos de datos independientes.
Evaluar que la aplicación tiene control de accesos.
Controlar que las aplicaciones no sean vulnerables al top
10 de OWASP.
Se debe eliminar la vinculación entre diferentes conjuntos
de datos, manteniéndolos independientes.
cve: BOE-A-2023-19756
Verificable en https://www.boe.es
1.
Núm. 225
Miércoles 20 de septiembre de 2023
Sec. III. Pág. 127710
No obstante, y previa notificación por escrito del Responsable del Tratamiento
a la finalización del encargo, el Responsable del Tratamiento podrá requerir al
encargado para que en vez de la opción a), cumpla con la b) o c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del
tratamiento, los datos de carácter personal y, si procede, los soportes donde
consten, una vez cumplida prestación. La devolución debe comportar el borrado
total de los datos existentes en los equipos informáticos utilizados por el
encargado. No obstante, el encargado puede conservar una copia, con los datos
debidamente bloqueados, mientras puedan derivarse responsabilidades de la
ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el
encargado debe certificar su destrucción por escrito y previa petición, debe
entregar el certificado al responsable del tratamiento. No obstante, el encargado
puede conservar una copia, con los datos debidamente boqueados, mientras
puedan derivarse responsabilidades de la ejecución de la prestación.
Medidas de seguridad.
Los datos deben protegerse para evitar que dichos datos pierdan su razonable
confidencialidad, integridad y disponibilidad y de acuerdo con la catalogación del
riesgo según el anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se
regula el Esquema Nacional de Seguridad y la evaluación de riesgos realizada. Se
deben implantar, al menos, las siguientes salvaguardas:
Tipo
Privacidad desde el diseño y por defecto.
Descripción
Salvaguardas
Ocultación o pseudonimización
(RGPD).
Los datos a comunicar se deben ofuscar.
Si aparece información del entorno de producción, se
disociarán los datos identificativos.
Borrado de información.
Se deben establecer criterios concretos para
eliminar los datos.
Se deben definir criterios generales de borrado, conforme
a los plazos legales de conservación.
Seguridad en los requisitos,
análisis y diseño de aplicaciones
informáticas.
Análisis de PbDD.
El modelo de datos debe incluir el mínimo número
Debe existir una lista de requisitos de seguridad.
de datos, la exposición de los datos debe
Un informe debe relacionar los requisitos de seguridad
predefinirse teniendo en cuenta los requisitos de
con las medidas de análisis implantadas, y detectar
seguridad.
mejoras.
Seguridad en la puesta en
producción de aplicaciones
informáticas.
Se debe garantizar que las aplicaciones
informáticas tienen controles de seguridad
adecuados.
Cancelación periódica / Expurgo.
Definir y aplicar criterios generales de conservación de la
información.
El modelo de datos debe incluir el mínimo número Definir procedimientos de expurgo de la información
de datos, la exposición de los datos debe
aprobados, y conocidos, por la Organización.
predefinirse teniendo en cuenta los requisitos de
Auditar anualmente los procedimientos de cancelación
seguridad.
periódica y expurgo.
Valorar la contratación de un proveedor certificado en
procedimientos de destrucción segura de información.
Finalidades debidas y no
excesivas.
Las finalidades deben ser debidas y no excesivas. Definir finalidades específicas.
Políticas de control de accesos.
Restringir el acceso a los datos bajo el principio de
Implementar controles de acceso a la información.
necesidad de conocimiento.
Técnicas de ofuscación o
disociación.
Los datos deben ser ininteligibles mediante
cifrado, u optar por eliminar la vinculación entre
conjuntos de datos independientes.
Evaluar que la aplicación tiene control de accesos.
Controlar que las aplicaciones no sean vulnerables al top
10 de OWASP.
Se debe eliminar la vinculación entre diferentes conjuntos
de datos, manteniéndolos independientes.
cve: BOE-A-2023-19756
Verificable en https://www.boe.es
1.
